Infostand海外ITトピックス

新型コロナで脚光のZoom セキュリティやプライバシーの問題で一転逆風

「エンドツーエンド」でない暗号化技術

 Zoomには当局も関心を寄せている。FBI(連邦捜査局)のボストン担当局が3月30日、テレビ会議サービスの「Zoom-bombing(Zoom爆弾)」についての警告を出した。担当地区内の高校2校で、オンライン授業中に、招待されていない参加者が“乱入”する事件があったとの内容だ。

 ビデオ会議サービスの利用が増えたことで起こった攻撃への注意を喚起するものだが、ハイジャックされた2校は、いずれもZoomの使用中に攻撃を受けている。

 1校は、乱入者が冒涜的な言葉を吐いたり教師の住所を叫んだ。もう1校も、やはり特定できない人物が参加し、“かぎ十字のタトゥー”を見せたという。パスワードなしでも利用できるという特徴を悪用されたものだった。FBIは、アクセスを開放せず、セキュリティ要件を確認するよう呼び掛けている。

 また同じ日にニューヨーク州のLetitia James司法長官は、Zoom宛てにユーザーのプライバシーとセキュリティについて適切なステップをとっているのかを問う書簡を送った。CNNが伝えている。

 さらにZoomの仕組みにも疑惑が投げかけられた。The Interceptは3月31日、Zoomの通信は、その宣伝に反して「エンドツーエンド」(E2E)で暗号化されていないと指摘した。動画でも音声でもエンドツーエンドの暗号機能はサポートしておらず、動画ではTCPとUDPの組み合わせを使っているにすぎないというのだ。

 Zoomの広報担当は取材に対し、「TLSでTCP接続しており、UDP接続はAESで暗号化。カギのやり取りにはTLSを使っている」と回答したという。これに対しThe Interceptは、「トランスポート層の暗号化であって、エンドツーエンドの暗号化とは異なる」と指摘。E2Eという言葉を「独自の定義」で使っていると批判した。

 さらに翌4月1日には、NSA(米国家安全保障局)の元ハッカーらがZoomの脆弱性を発見したことも報じられた。「Windowsパスワードを盗める」「Macの乗っ取りが可能になる」などのバグで、悪意を持つ者に制御を奪われてしまうという。Tech Crunchなどが伝えている。